رؤبال ناصيف

منذ 2018م، ظهرت في مجال الأمن السيبرانيّ هجمات جديدة أكثر ذكاءً حملت اسم هجمات النقر الصفريّ أو الهجمات الخالية من النقر Zero-Click، والتي يعدّ برنامج Pegasus الذي تطوّره شركة NSO Group الإسرائيليّة أحد أهمّ تجلّياتها. ومع ظهور هذه التقنيّة، تغيّرت المقاربة التقنيّة للمتخصّصين في مجال الحماية الإلكترونيّة، فوقفوا في حيرة وعجز أمام إيجاد إجابات عن هذا الخطر المستجدّ. لماذا؟ هو ما سنتعرّف إليه في هذا المقال.

* تطوّر تقنيّات برامج القرصنة والتجسّس
قبل الغوص في تفاصيل هذه التقنيّة، من المفيد بدايةً الإشارة إلى أنّه حتّى تاريخ قريب، تركّز عمل البرامج الضارّة، بما فيها برامج التجسّس، على استغلال الثغرات دون انتظار Zero Day(1) ونقاط الاختراق الموجودة في أنظمة تشغيل الوسائط والمواقع والتطبيقات الإلكترونيّة لنشر روابط ملوّثة (رسائل أو إعلانات أو صور)، وعلى انتظار تفاعل المستخدم مع تلك الروابط كي تنشط آليّتها وتباشر مهامها في سرقة بياناته والتّنصّت على الاتّصالات التي تتمّ عبرها.

* كيف يتفاعل المستخدم؟
إنّ تفاعل المستخدم يتمّ عبر:

1. تفاعله الفيزيائيّ: كأن يقوم المستخدم أو غيره بتثبيت برنامج التجسّس عمداً في الواسطة.

2. تصفّحه لمواقع إلكترونيّة ملوّثة.

3. نقره على رابط ملوّث (ملف، صورة، عنوان إلكترونيّ، مقطع فيديو) مدسوس في المواقع الإلكترونيّة أو في البريد الإلكترونيّ أو في تفاعلات تطبيقات التواصل الاجتماعيّ.

4. تثبيته تطبيقات مجهولة المصدر تحمل في طيّاتها برامج ضارّة مخفيّة.

* كيف يحمي المستخدم نفسه؟
أمّا المستخدم المحترف فيمكن أن يحمي وسائطه من هذه البرامج عبر:

1. الامتناع عن تثبيت أيّ برامج يحتمل أن تكون ضارّة أو ملوّثة.

2. عدم إتاحة وسائطه للاستخدام من قبل آخرين، خشية قيامهم بتثبيت برامج ضارّة أو ملوّثة.

3. الابتعاد عن زيارة المواقع الإلكترونيّة المشبوهة.

4. الامتناع عن النقر على أيّ رابط مجهول أو مشبوه في مختلف التطبيقات.

5. التحديث المستمرّ لنظام التشغيل وللتطبيقات لإقفال أيّ ثغرات تسمح بالتسلّل.

6. اعتماد برامج حماية فعّالة تمنع أيّ برنامج ضارّ من التسلّل وتثبيت نفسه والعمل بخفية، وتكون قادرة على اكتشاف وجود هذه البرامج وإزالتها والتحقّق من تأثيرها.

* طريقة عمل تقنيّة النقر الصفريّ
بالعودة إلى تقنيّة النقر الصفريّ، فإنّ السبب الأساسيّ الكامن وراء الحيرة والعجز أمامها هو أنّها تستهدف عادةً تطبيقات الوسائط الذكيّة التي توفّر إمكانات المراسلة والاتّصال الصوتيّ.

أمّا تقنيّاً، فإنّها تعمل من خلال:

1. البحث عن ثغرات: يبحث المهاجم عن ثغرات معيّنة مرتبطة بكيفيّة قيام أنظمة التشغيل بتحليل ومعالجة الاتّصالات والرسائل النصيّة والملفات والصور ومقاطع الموسيقى التي يتمّ إرسالها وتسلمها عبر هذه التطبيقات. وعند اكتشاف مثل هذه الثغرات، يستغلّ المهاجم أحدها لإجراء مكالمة أو إرسال صورة Gif أو رسالة نصيّة أو صور أو مقاطع فيديو مضحكة Meme مزيّفة أو مقطع موسيقيّ إلى واسطة الضحيّة. ويدرج ضمن هذه البيانات المرسلة ملف PDF (يحوي برنامج التجسّس) مع رمز Code لتشغيل البرنامج، مخفيّين بشكلٍ مصغّر (على مستوى “البيكسل”).

2. تفعيل الرمز المخفيّ: بمجرّد تسلّم الضحيّة للصورة أو للرسالة النصيّة، سواء رآها أو لم يرها، أو نقر عليها أم لم ينقر، أو بمجرّد استقباله لمكالمة WhatsApp حتّى لو لم يردّ عليها مطلقاً، يتفعّل الرمز المخفيّ، ويثبّت ملف الـPDF، وينفّذ عمليّة الاختراق بشكل صامت في الخلفيّة، دون علم المستخدم، ودون الحاجة إلى تفاعله، ليكتسب المهاجم حينها السيطرة الكاملة على الواسطة الضحيّة.

هذا يعني أنّ المهاجم لا يحتاج إلى إرسال رسائل لاستدراج الضحيّة للقيام بأيّ إجراء مثل فتح الصورة أو النقر على رابطها، ولا يحتاج كذلك لاستدراجه للردّ على أيّ مكالمة، بل يكفي أن يكون الأخير متّصلاً، وأن تحوي واسطته نظام تشغيل وتطبيق تواصل يعاني من هذه الثغرات، وأن يكون التطبيق نشطاً في الخلفيّة، ليتعرّض للهجمة دون أن يدرك ذلك. علماً أنّه في حال فشل هذه الهجمات، فإنّه بالإمكان تثبيت هذه البرامج عبر جهاز إرسال واستقبال لاسلكيّ يوضع على مقربة من الضحيّة، أو تثبيته يدويّاً إذا تمكّن المهاجم من سرقة واسطة الضحيّة.

* صعوبة اكتشافها
إنّ هذه الفئة من برامج التجسّس مصمّمة بطريقة يصعب على المستخدم العادي والمحترف اكتشافها، إذ إنّه من الصعب ملاحظة تسلّلها حتّى يتمكّن من صدّها، وكذلك اكتشاف آثار وجودها، بالتالي، رصدها وإزالتها. وحيث إنّها تعمل في الذاكرة المؤقّتة وليس في القرص الصلب، فإنّه بمجرّد إيقاف تشغيل الواسطة، يختفي كلّ أثر لعمل البرنامج تقريباً. وبهذا، فإنّ رصده وصدّه يتطلّبان إمكانات ومعارف متقدّمة جدّاً.

ما هي خطورة هذا البرنامج؟ وكيف نحمي الوسائط منه؟ وغيرها من الأسئلة نجيب عنها في العدد المقبل بإذن الله.

^{(1) ثغرات الهجمات دون انتظار Zero Day : هي عيوب أو أخطاء في أنظمة التشغيل والتطبيقات والشبكات لا تكون الشركة المصنّعة قد اكتشفتها لتتمكّن من إصلاحها.}